安全審計系統(tǒng)的功能設(shè)計及其技術(shù)要求

1、安全審計系統(tǒng)的功能設(shè)計及其技術(shù)要求安全審計系統(tǒng)的功能設(shè)計及其技術(shù)要求隨著信息化進(jìn)程的深入和互聯(lián)網(wǎng)的迅速發(fā)展， 人們的工作、 學(xué)習(xí)和生活方式正在發(fā)生巨大變化，效率大為提高，信息資源得到最大程度的共享。即使部署了防火墻、防病毒、入侵檢測系統(tǒng)等網(wǎng)絡(luò)安全產(chǎn)品，制定了嚴(yán)格安全策略、發(fā)布了多項管理制度，各種網(wǎng)絡(luò)安全事件任然有增無減，根據(jù) CERTCERT 的年度研究報告顯示，高達(dá) 50%50%以上的數(shù)據(jù)破壞是由內(nèi)部人員造成的，內(nèi)部人員對自己的信息系統(tǒng)非常熟悉，又位于防火墻的后端，對數(shù)據(jù)庫系統(tǒng)的誤操作或者蓄意的破壞會對企業(yè)造成惡劣的影響以及重大損失，無法定責(zé)，不方便管理。安全審計通過收集、分析、評估安全信息

2、、掌握安全狀態(tài)，制定安全策略，確保整個安全體系的完備性、合理性和適用性，將系統(tǒng)調(diào)整到最安全和最低風(fēng)險的狀態(tài)。1 1 什么是安全審計系統(tǒng)安全審計系統(tǒng)是在一個特定的企事業(yè)單位的網(wǎng)絡(luò)環(huán)境下， 為了保障業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)信息數(shù)據(jù)不受來自用戶的破壞、泄密、竊取，而運(yùn)用各種技術(shù)手段實時監(jiān)控網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)行為、通信內(nèi)容，以便集中收集、分析、報警、處理的一種技術(shù)手段。能夠規(guī)范員工上網(wǎng)行為、提高工作效率、防止企業(yè)機(jī)密資料外泄，幫助管理者發(fā)現(xiàn)潛在的威脅，減少人為因素和管理缺失造成的關(guān)鍵業(yè)務(wù)停頓造成的損失。幫助您對 ITIT 安全事件進(jìn)行有效監(jiān)控、協(xié)調(diào)弁迅速做出響應(yīng)。對潛在的攻擊者起到展懾和替告的作用，對于己經(jīng)發(fā)生的

3、系統(tǒng)破壞行為提供有效的追究證據(jù)。2 2 安全審計系統(tǒng)功能安全審計系統(tǒng)由審計主機(jī)以及探測器組成， 采用旁路方式進(jìn)行審計， 不在網(wǎng)絡(luò)中串聯(lián)設(shè)備，不破壞網(wǎng)絡(luò)結(jié)構(gòu)，不影響正常業(yè)務(wù)的運(yùn)行，也不會影響到網(wǎng)絡(luò)性能，通過 HTTPSHTTPS 方式對主機(jī)進(jìn)行管理。系統(tǒng)主要由以下功能模塊組成：1 1）網(wǎng)絡(luò)審計模塊：防止非法內(nèi)連和外連，負(fù)責(zé)網(wǎng)絡(luò)通信系統(tǒng)的審計，在加強(qiáng)內(nèi)外部網(wǎng)絡(luò)信息控制監(jiān)管的同時，為避免相關(guān)信息外泄及事后的追溯取證提供了有效的技術(shù)支撐。2 2）操作系統(tǒng)審計模塊：對重要服務(wù)器主機(jī)操作系統(tǒng)的審計，記錄操作時間、IPIP 地址、用戶賬號、服務(wù)器賬號、操作指令、操作結(jié)果等信息。用戶即可通過操作日志查看詳細(xì)操

4、作指令，也可通過錄像回放查看詳細(xì)的操作過程3 3）數(shù)據(jù)庫審計模塊：對重要數(shù)據(jù)庫操作的審計，對信息系統(tǒng)中各類數(shù)據(jù)庫系統(tǒng)的用戶訪問行為進(jìn)行實時采集、實時分析，用戶登錄、登出數(shù)據(jù)庫，對數(shù)據(jù)表內(nèi)容做插入、刪除、修改等操作，記錄內(nèi)容可以精確回放 SQLSQL 操作語句。詳細(xì)記錄每次操作的發(fā)生時間、數(shù)據(jù)庫類型、數(shù)據(jù)庫名、表名、源 MACMAC 地址、目的 MACMAC 地址、源端口、目標(biāo)端口、數(shù)據(jù)庫名、用戶名、客戶端 IPIP、服務(wù)器端 IPIP、操作指令、操作返回狀態(tài)值。4 4）主機(jī)審計模塊：主要負(fù)責(zé)對網(wǎng)絡(luò)重要區(qū)域的客戶機(jī)進(jìn)行審計，包括對終端系統(tǒng)安裝了哪些不安全軟件的審計，弁設(shè)置終端系統(tǒng)的權(quán)限等，在配合

5、網(wǎng)絡(luò)行為控制與審計策略的配置實施過程中起到基礎(chǔ)性的作用。5 5）應(yīng)用審計模塊：主要負(fù)責(zé)重要服務(wù)器主機(jī)的應(yīng)用平臺軟件，以及重要應(yīng)用系統(tǒng)進(jìn)行審計。監(jiān)測及采集信息系統(tǒng)中的系統(tǒng)安全事件、用戶訪問行為、系統(tǒng)運(yùn)行日志、系統(tǒng)運(yùn)行狀態(tài)等各類信息，經(jīng)過規(guī)范化、過濾、歸弁和告警分析等處理后，以統(tǒng)一格式的日志形式進(jìn)行集中存儲和管理，形成清晰的記錄。6 6）運(yùn)維審計模塊：主要負(fù)責(zé)監(jiān)控系統(tǒng)管理員及第三方運(yùn)維人員（代維/原廠工程師） 系統(tǒng)操作時的審計， 對于所有遠(yuǎn)程訪問目標(biāo)設(shè)備的會話連接，實現(xiàn)同步過程監(jiān)視，運(yùn)維人員在服務(wù)器上做的任何操作都會同步顯示在審計人員的監(jiān)控畫面中，包括 vivi、smitsmit 以及圖形化的 R

6、DPRDP、VNCVNC、X11X11 等操作，管理員可以根據(jù)需要隨時切斷違規(guī)操作會話。記錄訪問者和被訪問者的 IP/MACIP/MAC地址，訪問時間等信息。3 3 安全審計系統(tǒng)特點(diǎn)安全審計系統(tǒng)實現(xiàn)功能模塊，具有如下特點(diǎn)：3.13.1 細(xì)粒度的操作內(nèi)容審計（深度協(xié)議分析）采用協(xié)議識別和智能關(guān)聯(lián)技術(shù)，可對網(wǎng)站訪問、郵件收發(fā)、遠(yuǎn)程終端訪問、數(shù)據(jù)庫訪問、論壇發(fā)帖等關(guān)鍵信息進(jìn)行監(jiān)測、還原；從鏈路層到應(yīng)用層對協(xié)議進(jìn)行深度分析，根據(jù)內(nèi)容自動識別各個連接的應(yīng)用協(xié)議類型。 保障審計的準(zhǔn)確性。 為管理機(jī)構(gòu)進(jìn)行事后追查、取證分析提供有力技術(shù)支撐。3.23.2 全面的網(wǎng)絡(luò)行為審計（精準(zhǔn)的網(wǎng)絡(luò)行為實時監(jiān)控）安全審計系

7、統(tǒng)可對網(wǎng)絡(luò)行為，如網(wǎng)站訪問、郵件收發(fā)、數(shù)據(jù)庫訪問、遠(yuǎn)程終端訪問、即時通訊、論壇、在線視頻、P2PP2P 下載、網(wǎng)絡(luò)游戲等，提供全面的行為監(jiān)控，支持全面的行為審計、支持目前常見的各種網(wǎng)絡(luò)應(yīng)用，方便事后追查取證；在旁路部署模式下可實現(xiàn)較強(qiáng)的網(wǎng)絡(luò)行為控制功能，包括對網(wǎng)頁瀏覽、電子郵件服務(wù)器、即時通訊、P2PP2P 下載、流媒體、在線游戲等應(yīng)用的控制。3.33.3 日志規(guī)則庫自帶基于日志內(nèi)容分析的專家規(guī)則庫， 針對日志源數(shù)據(jù)進(jìn)行實時等級劃分，智能分析日志信息中所反映出的諸如設(shè)備故障、配置錯誤、系統(tǒng)警告、應(yīng)用程序出錯、傳播違規(guī)違法信息、數(shù)據(jù)庫敏感操作等信息，弁能及時通過郵件或短信方式通知管理員。規(guī)則庫能

8、夠定時自動升級，應(yīng)對新增的安全風(fēng)險。3.43.4 綜合流量分析安全審計系統(tǒng)可對網(wǎng)絡(luò)流量進(jìn)行綜合分析， 為網(wǎng)絡(luò)帶寬資源的管理提供可靠策略支持；通過傳統(tǒng)安全手段與安全審計技術(shù)相結(jié)合，在功能上互相協(xié)調(diào)、補(bǔ)充，構(gòu)建一個立體的保障管理體系。3.53.5 可靠的安全保障能力自身的安全性高， 不易遭受攻擊， 在操作系統(tǒng)級對系統(tǒng)各支撐引擎進(jìn)行了修改和全面優(yōu)化定制，全面防止攻擊與劫持，提升系統(tǒng)整體性能的同時保障自身系統(tǒng)級安全。對關(guān)鍵審計數(shù)據(jù)的存儲和傳輸進(jìn)行加密防護(hù)，利用數(shù)據(jù)防篡改、防刪除技術(shù)；嚴(yán)格訪問權(quán)限、審計權(quán)限控制體系達(dá)到系統(tǒng)級安全防護(hù)，旁路部署保障對網(wǎng)絡(luò)性能完全沒有影響，保證網(wǎng)絡(luò)無單點(diǎn)故障，優(yōu)先保障用戶網(wǎng)

9、絡(luò)級安全，是上網(wǎng)機(jī)構(gòu)在內(nèi)網(wǎng)和互聯(lián)網(wǎng)過程中最可信賴的安全工具。3.63.6 高效的事件定位能力系統(tǒng)運(yùn)行日志數(shù)據(jù)大致可分為兩類： 結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)， 結(jié)構(gòu)化數(shù)據(jù)主要包括行為日志和報警日志等，而非結(jié)構(gòu)化數(shù)據(jù)則主要包括內(nèi)容審計數(shù)據(jù)。通過使用先進(jìn)的全文檢索引擎，實現(xiàn)高效的事件定位能力。3.73.7 良好的擴(kuò)展性設(shè)計，部署靈活支持分級部署、集中管理，滿足不同規(guī)模網(wǎng)絡(luò)的使用和管理需求；對于單臺設(shè)備無法處理的超大流量環(huán)境或含有分支機(jī)構(gòu)的分布式環(huán)境，系統(tǒng)支持高擴(kuò)展性的多臺設(shè)備分布式部署方案，通過多臺設(shè)備對超大的流量或各分支機(jī)構(gòu)分而治之，又由統(tǒng)一的管理平臺實現(xiàn)對整個網(wǎng)絡(luò)的透明、統(tǒng)一的管理。3.83.8 多

10、種報表全面詳細(xì)的審計信息，豐富可定制的報表系統(tǒng)，系統(tǒng)根據(jù)歷史審計日志數(shù)據(jù)進(jìn)行統(tǒng)計可產(chǎn)生豐富詳細(xì)和直觀的報表，包括分組上網(wǎng)排名、人員上網(wǎng)排名、網(wǎng)絡(luò)應(yīng)用統(tǒng)計、訪問資源統(tǒng)計、趨勢分析、自定義報表等。能夠從上網(wǎng)對象、時間、分類、目標(biāo)等多個維度對網(wǎng)絡(luò)活動進(jìn)行查詢分析，弁以柱狀圖，餅圖，曲線圖,折線圖等形式來體現(xiàn)排名、結(jié)構(gòu)、趨勢等上網(wǎng)概況，使管理者對所掌握的數(shù)據(jù)有清晰直觀的認(rèn)識。報表可以以 EXCELEXCEL、PDFPDF、WORDWORD、 HTMLHTML 等形式導(dǎo)出保存， 弁支持自定義的周期性報表自動生成和訂閱。日志可以按照要求保留 9090 天以上，歸檔的日志可通過各種組合條件進(jìn)行在線查詢，也可以遠(yuǎn)程備份到異地進(jìn)行